Kancelarija za patente i žigove Sjedinjenih Američkih Država dodelila je kompaniji Kaspersky patent (US10339301) za tehnologiju koja je dizajnirana da pojednostavi otkrivanje zlonamernih funkcija u virtuelnoj mašini. Stvaranjem identičnih uslova koji pokreću izvršavanje malvera, ovaj patent omogućava istraživačima da analiziraju sumnjivu datoteku u samo jednom pokušaju umesto da pokušavaju u više navrata. Predviđeno je da se primenom ove tehnologije povećava stopa otkrivanja i automatizacija posla koji bi analitičari inače morali ručno da obavljaju.
Jedna od metoda analize zlonamernog ponašanja datoteke je pokretanje u izolovanoj virtuelnoj mašini, takođe poznatoj kao sandbox. Ova metoda automatizuje analizu malvera, međutim, i dalje je potrebno obavljanje pojedinih aktivnosti ručno kako bi se stvorilo odgovarajuće okruženje u kome će malver otkriti svoju „pravu prirodu“. Međutim, sajber kriminalci često primenjuju tehnike izbegavanja sandboxa; da bi izbegla detekciju, zlonamerna datoteka može proveriti pre izvršenja da li je u virtuelnoj mašini ili ostati neaktivna duže vreme dok sandbox više ne radi.
Patent pod nazivom “System and Method of Analysis of Files for Maliciousness in a Virtual Machine” opisuje tehnologiju koja automatski pokreće izvršenje datoteke i odgovarajuće uslove za svaku.
Ovi uslovi mogu varirati. Malver možda neće pokazati svoje zlonamerno ponašanje ako cilja određenu aplikaciju – na primer, e-mail klijent koji nedostaje u sandboxu. Da bi se izborili sa ovim izazovom, istraživači moraju da pogledaju evidenciju logovanja, da shvate šta nedostaje, da to dodaju u virtuelno okruženje mašine i da ponovo pokrenu proces.
Zatim, kada malver pokuša da pristupi nečemu, bilo da je reč o aplikaciji, direktorijumu ili datoteci, patentirani sistem presreće ovaj pokušaj. Međutim, sistem ne čeka da se završi izvršenje datoteke, već pauzira postupak i kreira potrebnu aplikaciju kao i sadržaj. Nakon toga proces se nastavlja.
Patentirana tehnologija takođe može pomoći da se prevaziđe tehnika izbegavanja kada malver „spava“ određeno vreme pre nego što se izvrši da bi izbegao detekciju, jer ostaje neaktivan duže nego što sandbox radi. U takvim slučajevima, patentirana tehnologija ubrzava protok vremena unutar virtuelne mašine, pa je zlonamerni kod primoran da se izvrši što pre. Bez obzira na to, kako su svi tajmeri i satovi omogućeni unutar sandboxa, malver ne može razlikovati ovaj trik.
Pravila za otkrivanje koja opisuju kako reagovati na određeni događaj nisu unapred instalirana ili implementirana unutar motora, već se mogu lako ažurirati i dodati – dakle, svaka nova logika ne uključuje promenu celog motora, već samo upotpunjuje dostupne scenarije zlonamernog ponašanja.
Vladislav Pintiski (Vladislav Pintiysky), menadžer u sektoru Emulation Technologies kompanije Kaspersky, i jedan od pronalazača tehnologije, izjavio je: „Kako sajber kriminalci stalno pronalaze nove tehnike izbegavanja detekcije, moramo učiniti naše tehnologije sofisticiranijim da otkriju zlonamerno ponašanje. Na primer, merači vremena mirovanja sada postaju sve rasprostranjeniji – prema podacima analitičara malvera iz kompanije Kaspersky, skoro polovina uzoraka koje automatski alati zanemaruju koriste odlaganje izvršenja. Ova patentirana tehnologija inteligentno upravlja protokom datoteka u sandboxu i omogućava mu da primi sve što mu je potrebno.“
„Kao rezultat toga, akcija se može izvršiti nakon prvog zahteva. Imajući u vidu zahteve visokih performansi sandboxova, ovo će uštedeti resurse kompanije uz povećanje tačnosti detekcije malvera“, dodaje Denis Kobičev (Denis Kobychev), Testing Group menadžer u kompaniji Kaspersky i ko-pronalazač tehnologije.
Tehnologija će se koristiti interno za analizu malvera i biće implementirana u rešenja sa sandboxovima.
Kompanija Kaspersky nastavlja da razvija i patentira nove tehnologije zaštite. Do početka avgusta 2019. godine kompanija ima 814 patenata u Rusiji, SAD-u, Kini i Evropi, a podneto je još 407 patentnih prijava.
Leave A Comment